Giới thiệu bổ sung về Network Access Protection – Phần 8

Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách yêu cầu chứng chỉ máy tính và cách kết hợp chứng chỉ đó với máy chủ VPN của bạn. Trong phần này, chúng tôi sẽ giới thiệu sâu về cách máy khách sẽ kết nối với máy chủ VPN. Chú ý là các máy khách này phải sử dụng hệ điều hành Windows Vista hoặc Windows XP SP3 và phải là thành viên miền. Thêm vào đó bạn cần phải cấu hình để có thể chạy một thành phần thực thi máy khách. Chúng...
Nội dung trích xuất từ tài liệu:
Giới thiệu bổ sung về Network Access Protection – Phần 8Giới thiệu bổ sung về Network Access Protection – Phần 8 Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách yêu cầuchứng chỉ máy tính và cách kết hợp chứng chỉ đó với máy chủ VPN của bạn. Trong phầnnày, chúng tôi sẽ giới thiệu sâu về cách máy khách sẽ kết nối với máy chủ VPN. Chú ý làcác máy khách này phải sử dụng hệ điều hành Windows Vista hoặc Windows XP SP3 vàphải là thành viên miền. Thêm vào đó bạn cần phải cấu hình để có thể chạy một thànhphần thực thi máy khách. Chúng tôi sẽ kích hoạt thành phần này thông qua chính sáchnhóm và trong bài này sẽ giới thiệu đến cách thực hiện đó.Tạo nhóm bảo mậtThứ đầu tiên trong quá trình tạo Network Access Protection có liên quan đến nhóm chínhsách là bạn không muốn áp dụng nó cho tất cả các máy tính trên mạng của mình. Cácmáy chủ mạng là một ví dụ, sẽ không bao giờ kết nối thông qua VPN, vì vậy sẽ khôngđược cấu hình như các máy khách Network Access Protection. Vì chúng ta cần phân biệtgiữa các máy tính hành động như các máy khách Network Access Protection phần còn lạinên hãy bắt đầu quá trình bằng cách tạo một nhóm bảo mật để có thể áp dụng các thiếtlập chính sách.Để tạo một nhóm bảo mật cần thiết, mở giao diện điều khiển Active Directory Users vàComputers. Khi giao diện điều khiển mở, kích chuột phải vào miền của bạn và chọn New| Group. Khi thực hiện xong thao tác đó, Windows sẽ mở hộp thoại New Object –Groups. Tiếp tục và chỉ định NAP Clients là tên của nhóm. Bảo đảm rằng phạm vi củanhóm được thiết lập là Global và bảo đảm rằng kiểu nhóm cũng được thiết lập làSecurity. Sau đó kích OK để tạo nhóm.Cài đặt tính năng quản lý chính sách nhómThứ tiếp theo bạn cần phải thực hiện là cài đặt tính năng quản lý nhóm chính sách GroupPolicy Management để có thể điều chỉnh các thiết lập chính sách nhóm khác nhau. Đểthực hiện điều đó, mở Server Manager và vào phần Features Summary. Kích liên kếtAdd Features, khi đó bạn sẽ thấy xuất hiện màn hình hiển thị tính năng nào hiện đã đượccài đặt. Nếu tính năng mình cần chọn này chưa được cài đặt, hãy tích vào hộp kiểm tươngứng Group Policy Management. Cuối cùng, kích Next, và Install. Khi quá trình cài đặtđược hoàn tất, hãy kích Close để đóng cửa sổ cài đặt. Bạn cũng có thể đóng cả ServerManager lúc này.Tạo các thiết lập chính sách nhómLúc này với nhóm bảo mật cần thiết thích hợp, chúng ta cũng đã cài đặt tính năng GroupPolicy Management, hãy tiếp tục và cấu hình các thiết lập nhóm chính sách cần thiết. Bắtđầu quá trình bằng cách nhập lệnh GPME.MSC vào nhắc lệnh Run. Khi bạn thực hiệnđiều đó, Windows sẽ hiển thị một hộp thoại cho phép bạn chọn ra trong các chính sáchnhóm đang tồn tại mà bạn muốn soạn thảo. Thay cho việc chỉnh sửa một trong các nhómchính sách tồn tại, chúng ta cần phải tạo một đối tượng chính sách nhóm mới.Bạn có thể thực hiện điều đó bằng cách kích nút Create New Group Policy Object ởbên phải của danh sách liệt kê cho miền của bạn. Khi kích nút này, bạn sẽ được nhắc nhởnhập vào tên của đối tượng chính sách nhóm mà bạn đang tạo. Cho mục đích của bài này,chúng ta hãy gọi đối tượng chính sách nhóm mới là NAP Client Settings.Lúc này đối tượng chính sách nhóm mới đã được tạo, hãy chọn nó và kích OK. Khi đóWindows sẽ mở Group Policy Management Editor. Bạn phải tìm trong cây giao diện điềukhiển đến phần Computer | Configuration | Policies | Windows Settings | SecuritySettings | System Services. Kích đúp vào Network Access Protection Agent trong phầnpanel chi tiết.Windows lúc này sẽ mở hộp thoại Network Access Protection Agent Properties. Chọnhộp kiểm “Define This Policy Setting” sau đó chọn tùy chọn Automatic startup. KíchOK để đóng hộp kiểm.Điều hướng thông qua cây giao diện vào Computer Configuration | Policies | WindowsSettings | Security Settings | Network Access Protection | NAP Client Configuration |Enforcement Clients. Khi đó panel chi tiết sẽ hiển thị danh sách các máy khách thực thicó sẵn. Kích chuột phải vào Remote Access Quarantine Enforcement Client, sau đóchọn Enable. Quay trở lại mục NAP Client Configuration, kích chuột phải vào nó vàchọn Apply.Quay trở lại Computer Configuration | Policies | Administrative Templates |Windows Components | Security Center. Kích đúp vào mục “Turn on SecurityCenter (Domain PCs Only)” trong phần panel chi tiết. Khi bạn thực hiện điều đó,Windows sẽ hiển thị hộp thoại “Turn on Security Center (Domain PCs Only)”. Chọn tùychọn Enabled và kích OK để bảo đảm rằng Security Center có thể truy cập từ các máytính khách. Điều này rất quan trọng vì chúng ta sẽ test Network Access Protection về khảnăng phát hiện xem Windows firewall đã được kích hoạt hay chưa.Để hoàn tất quá trình, kích OK sau đó đóng Group Policy Management Editor. Trongmột số trường hợp, bạn có thể nhận được một nhắc nhở hỏi bạn có muốn áp dụng cácthay đổi vừa thực hiện cho đối tượng chính sách nhóm hay không. Nếu nhận được nhắcnhở nh ...